WRブログ

webサイト脆弱性対策のポイントVol.1 〜設計・開発段階〜

webサイト脆弱性対策のポイントVol.1~設計・開発段階~

メールやビデオチャットなどのコミュニケーションツールから、買い物や転職活動といった生活を支えるものにさえwebサイトを利用することが当たり前になった現代、情報漏洩や売買、SNSを通じた書き込みなど…重要な情報の取り扱いが大きな問題になっています。そのため、webサイトを扱う全ての企業でセキュリティ対策が必要となります。

個人情報と機密情報

個人情報とは、どのような情報のことを指すのでしょうか?個人情報保護法(個人情報の保護に関する法律)では、次のように定義されています。

「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。— 個人情報保護法第2条1項

では、個人情報を扱うwebサイトにはどのようなものがあり、それぞれどんな個人情報を扱っているのでしょうか?いくつかの具体例をもとに見てみましょう。

個人情報を扱うwebサイト 取り扱う個人情報
通販サイト(EC) ・氏名
・住所
・メールアドレス
・クレジットカード情報
転職サイト ・氏名
・生年月日(年齢)
・性別
・職務経歴
・顔写真
・電話番号
SNS ・氏名
・生年月日
・性別
・友人関係

機密情報を扱うwebサイトと、それぞれが扱う機密情報の種類には以下のようなものが当てはまります。

機密情報を扱うwebサイト 取り扱う機密情報
在庫管理システム ・顧客リスト
・売上
・在庫状況
・取引先企業
人事管理サイト ・給与
・人事異動
・経営戦略
・社員情報
会計ソフト ・売上
・財政状況
・経営戦略

この他にも、企画書や報告書、設計図なども機密情報に含まれます。

webサイトの脆弱性対策の実態

前述したように、私たちが職場やプライベートで頻繁に利用するwebサイトにまで、個人情報や機密情報が多く含まれていることが分かります。

つまり、プロダクトを作る側にも「自社のwebサイトが個人情報や機密情報を扱う可能性」を常に考慮する必要があるということです。
しかし、情報処理推進機構(IPA)の調査によると、webサイトを提供している企業のうち、設計段階からセキュリティの脆弱性対策や調査などをおこなっている組織は5割にも満たないと言われています。さらに「これまでに脆弱性に起因する被害にあったことがあるか?」という調査については、3割前後の企業が「被害経験アリ」と答えています。

また、企業や提供するwebサイトの規模が大きければ大きいほど、その影響範囲は拡大し、ひとたび個人情報や機密情報が漏洩したとなると、その対応やその後の信頼回復には膨大な予算と時間が必要になります。

設計〜開発段階での脆弱性対策

webサイトの脆弱性を狙ったクロスサイトスクリプティング、SQLインジェクションの多くは、開発段階でセキュリティの脆弱性を意識せずに実装してしまうことで埋め込まれてしまいます。

しかし、すでに出来上がっているサイトに後から脆弱性対策を施すのは困難で、放っておくと思わぬセキュリティホール(欠陥)を生んでしまう原因にもなりかねません。このような事態を避けるため、設計・開発段階で脆弱性をできる限り解消しておく必要があります。

①セキュリティの基本方針を決める
②セキュリティのためのチームを組織する(人員と予算の確保)
③要件に脆弱性対策を加える

まず、自分たちが何から、何の情報を守らなければいけないのか理解し、共有できていなければなりません。そのため①は、セキュリティの担当者だけでなく、開発者などプロダクトの関係者全てに当てはまります。

次に、実際にセキュリティ対策を施したり、それを監視するためのチームを組織する必要があります。②にしっかりと人員と予算を割くことができるかによって、その後のwebサイトの安全性に大きく影響します。

最後に、webサイトの要件に脆弱性対策を加えます。このとき忘れてはいけないのが、外部委託などを利用している場合には、そちらに対しても脆弱性対策の要件を加えることです。

まとめ

ここまで、身近に存在する個人情報や機密情報と、それらを守るために設計〜開発段階で必要な脆弱性対策について紹介しました。


・個人情報や機密情報は身近に溢れている

・自社のwebサイトが個人情報や機密情報を扱う可能性を考慮する必要がある

・脆弱性対策は「作った後」ではなくて「作る前」に行う

■脆弱性診断(セキュリティ診断)はお任せください

弊社が提供する「セキュリティ診断サービス」は、高い技術レベルの専門家が擬似攻撃を仕掛けるなど、貴社webアプリケーションやプラットフォーム、スマートフォンアプリ、データベース、システムの脆弱性やセキュリティにおける問題点を、 さまざまな観点・手法から診断するサービスです。
詳しくはセキュリティ診断サービスをご覧ください。

■webサイト脆弱性対策に関するその他の関連記事

webサイト脆弱性対策のポイントVol.1 〜設計・開発段階〜 【本記事】
webサイト脆弱性対策のポイントVol.2 〜公開後・運用段階〜
webサイト脆弱性対策のポイントVol.3 〜脆弱性が見つかった場合の対応〜
webサイト脆弱性対策のポイントVol.4 〜脆弱性対策のチェック項目〜

【参考URL】:
http://law.e-gov.go.jp/htmldata/H15/H15HO057.html , (参照 2017年8月31日)
https://www.ipa.go.jp/files/000011568.pdf , (参照 2017年8月31日)